バイデン大統領の新しいセキュリティ政策がサイバーの将来に与える影響

この記事はもともと アンドリュー・ルービンのLinkedIn.

バイデン政権は、米国政府のレジリエンスを向上させ、リスクを軽減することを目的とした包括的な大統領令により、サイバーセキュリティ政策における遺産を確固たるものにしたばかりです。私たちの政府がサイバーセキュリティの青写真を書き換えようとしたのは、ほぼ20年ぶりであり、それは早すぎる日ではありません。現在、攻撃者はこれまで以上に新しい侵入方法を追求するための時間、人員、リソースを持っており、最近のColonial PipelineとSolarWindsの攻撃が示すように、悪用の取り組みで大規模な成功を収めています。

これはアメリカだけの問題でも、連邦の問題でも、政策の問題でもなく、自己満足の伝染がシステムに忍び込んだのです。だからこそ、私はこの大統領令を両手を広げて歓迎します – なぜなら、これは私たちが自分自身を守る方法を変える必要があるという行動への呼びかけだからです。

時代の先を行く

米国連邦政府は、かなり長い間、情報技術とサイバーセキュリティの近代化においてひどく遅れをとってきました。米国国土安全保障省のアレハンドロ・マヨルカス長官は、3月31日に国家のサイバーレジリエンスに関する ビジョン を共有し、米国の連邦サイバーセキュリティの現状を最もよく表現しました。世界最高のサイバーセキュリティ企業の1つがハッキングされ、政府に警告して初めて、私たちはそれを知りました。この事件は、連邦政府がサイバーセキュリティ防御を近代化し、パートナーシップを深める必要性を浮き彫りにする多くの事件の1つです。」

世界で最も裕福で最も革新的な国の1つが、国家インフラの確保に関して歴史的にボールに遅れをとってきたのはなぜでしょうか?政府資産の保護に費やされる数十億の連邦ドルは、外部の脅威の影響を軽減するだろうと考える人もいるだろう。

しかし、問題は、リソースや人材、クラス最高のサイバー防衛技術へのアクセスが不足していることではなく、結局のところ、米国は多くのグローバルサイバーセキュリティリーダーの誇り高き本拠地です。むしろ、マヨルカス長官が提示していたのは、サイバーセキュリティモデル全体を非難するものだと私は信じています。

昨年、サイバーセキュリティに世界全体で1,730億ドルを費やしましたが、歴史上かつてないほど多くの侵害が発生しており、史上最も壊滅的な侵害です。失敗した戦略とひどい結果にもかかわらず、私たちは今日もサイバーセキュリティに対して20年前と同じアプローチをとり続けています。組織は、攻撃が境界に侵入するのを防ぎ、攻撃がすり抜けたときに検出し、インシデント対応に頼って混乱を片付けようとします。

予防と検出だけで政府機関、企業、組織を救っていた時代は終わりました。攻撃は、あなたが知らないインフラストラクチャにあります。彼らは隠れています。彼らは仮装しています。彼らは、あなたの IP、顧客データ、政府の機密を盗んだり、身代金を求めてすべてを保持したりするために動き回ろうとしています。そして悲しいことに、現在のサイバーセキュリティアプローチでは、これらの攻撃が大規模なサイバー災害になるのをほとんど防ぐことはできません。

グラウンド・ゼロへの移行

この大統領令は、新しいセキュリティ設計の最初の草案を提示することにより、 連邦サイバーセキュリティ モデルが時代遅れであることを最終的に認めています。新しいアプローチは、ゼロトラストという2つの言葉に要約できます。

ベンダーを選ぶと、100万のゼロトラスト定義が見つかります。Forrester は 10 年以上前にこの用語を公表しており、Forrester のアナリストである Steve Turner による 最近のブログ では、「ゼロトラストは 1 つの製品やプラットフォームではありません。これは、「決して信頼せず、常に検証する」と「侵害を想定する」という概念に基づいて構築されたセキュリティフレームワークです。」

連邦レベルでのゼロトラストがどのようなものかという点では、ゼロトラスト戦略の実装と達成を成功させるには、多くの中核となる要素があります。アクセス、ID、セグメンテーションは、大規模に必要になると思われる 3 つのコア テクノロジーです。たとえば、Google Authenticator、Authy、またはその他の多要素認証アプリを使用したことがある場合は、ゼロトラストへの一歩を踏み出したことになります。しかし、誰の定義に従うかに関係なく、必要な基本的な設計原則があります。

最初の原則として、連邦政府は「侵害を想定する」という考え方の下で運営されなければなりませんが、これは攻撃はすでにインフラストラクチャにあり、将来的に新しい攻撃が再び侵入するという考え方です。その戦略的な出発点から、連邦政府のサイバー防御は、クラウド、ネットワーク、またはデータセンター全体での攻撃の敵対的な動きを阻止するための準備を整えることができます。私たちは、侵害の 1% が納税者に数十億ドルの損害を与えたり、戦略的燃料パイプラインなどの重要なインフラの閉鎖を余儀なくされたりする場合、99.9% の有効性だけでは十分ではないことを痛感しました。代わりに、組織が侵害の範囲と影響を軽減できるように、侵害に積極的に備えることが大切です。

もう少し拡大するには、政府は最小特権と明示的信頼の原則に従う必要があります。つまり、インフラストラクチャ全体(アプリケーション、ネットワーク、クラウド、データセンター、またはデバイス間)の通信はすべて、常に可能な限り最小限の権限を持つ必要があり、政府機関は、それらのシステム間で通信を行うことを許可する前に、通信を明示的に信頼する必要があります。たとえば、これらの原則があれば、SolarWinds の攻撃がこれほど大きな損害を与えるのを阻止できた可能性があります。マルウェアはインフラストラクチャ内に存在していたはずですが、孤立しており、これほど広範囲にわたる被害を引き起こすことはできません。

新しいサイバーノーマル

マヨルカス長官が説明したように、「私たちは考え方を根本的に転換し、防衛は回復力と密接に関係していなければならないことを認識しなければなりません。サイバー防御を改善するには、大胆で即時のイノベーション、大規模な投資、重要なサイバー衛生の水準の向上が緊急に必要とされています。それに応じて、政府内外の投資に優先順位を付ける必要があります。」

ゼロトラスト は単なる国家的なサイバーセキュリティの枠組みではなく、あらゆる企業、組織、個人が真のサイバーレジリエンスを達成するために採用できるものです。バイデン政権が提唱しているのは、今日の世界を動かし保護するセキュリティツールやテクノロジーを打倒することではなく、サイバーセキュリティ防御をさらに強化し、備えを強化するために、これらのソリューションを補完する戦略的考え方です。

連邦政府のサイバーセキュリティの近代化は、明らかに一度にすべて実現することはできませんが、悪意のあるアクティビティが連邦ネットワークに侵入した後、それを隔離するように設計された制御から始める必要があります。政府機関全体で、侵害を想定する考え方から始める必要があります。そして、ゼロトラスト戦略を大規模に採用することから始める必要があります。